CW无线控制器ACppt课件

1、无线控制器（无线控制器（AC）中国移动通信集团设计院有限公司中国移动通信集团设计院有限公司日期：日期：2019-03中国移动通信集团设计院有限公司刘佳刘佳第 2 页课程总览课程总览第 2 页课程编号课件包CW01 WLAN通信技术基础CW02 无线局域网标准CW03 无线局域网网络设备CW04 WLAN无线网规划与设计CW05 WLAN核心网规划与设计CW06 WLAN网络施工工艺CW07 WLAN配置与调试CW08 WLAN测试与验收CW09 WLAN维护优化CW10 终端知识课件编号课件名称 CW03-1天线CW03-2馈线与器件CW03-3以太网连接线CW03-4无线接入点（AP）CW0

2、3-5路由器和交换机CW03-6POE交换机和POE模块CW03-7无线控制器（AC）第 3 页课程目标课程目标l通过学习此课程，您应该能够：通过学习此课程，您应该能够：l了解WLAN技术基本术语l了解WLAN系统网络架构l了解无线控制器基本概念l了解无线控制器的主要功能及要求l了解无线控制器+Fit AP的连接方式l了解WLAN设备主要厂家无线局域网网络设备连接图无线局域网网络设备连接图第 4 页l上图为无线局域网网络设备连接示意图，本课件主要介绍无线控制器AC。第 5 页WLAN术语术语/缩写及解释缩写及解释词语词语解释解释APAccess Point，接入点ACAccess Contro

3、ller，接入控制器 AS Authentication Server，认证服务器FIT AP/瘦AP是指需要无线控制器进行管理、调试和控制的APFAT AP/胖AP相对于瘦AP，胖AP具有比瘦AP更多的功能，可独立于AC，单独使用；CMnet China Mobile Network，中国移动互联网RADIUSRemote Authentication Dial In User Service ，远程用户拨号认证系统 SSIDService Set Identifier ,服务集标识 VLANVirtual Local Area Network，虚拟局域网WLANWireless Local

4、 Access Network，无线局域网第 6 页WLAN系统网络拓扑系统网络拓扑第 7 页无线控制器基本概念无线控制器基本概念n无线控制器概念无线控制器概念无线控制器，又名接入控制器，英文名称Access Controler，简称AC，WLAN中AC主要完成WLAN用户的接入控制，计费信息采集以及无线业务管理和控制。n无线控制器功能无线控制器功能 lAP和AC设备包括胖(AC+FAT AP)瘦(AC+FIT AP )两种架构。l胖架构下，AC仅包括“用户接入控制功能”，不含“无线控制功能”。AC作为WLAN用户接入的认证点，和后台的认证服务器相连，完成对WLAN用户的认证。只有经过接入认证

5、的用户才能通过WLAN接入网络访问外部网络或者应用服务器。l瘦架构下，AC包括“用户接入控制功能”和“无线控制功能”，上述功能必须由一个物理实体实现。在大规模运营级网络中，建议采用大容量、可扩展插槽式AC设备进行部署。lWLAN网络建设原则上采用FIT AP设备 ,因此以下介绍如无特别说明，均为瘦架构下的情况。第 8 页无线控制器用户接入功能无线控制器用户接入功能n 用户接入功能要求用户接入功能要求认证功能认证功能 支持WEB帐号/密码、EAP-SIM/EAP-AKA接入认证方式。 支持PPPoE接入认证方式。 可选支持PEAP-MSCHAPV2认证方式 支持WEB认证和EAP-SIM/EAP

6、-AKA认证方式的识别，识别方式参见相关接入流程技术规范。 不同认证方式的同时支持和兼容不能带来性能的降低和安全性的隐患；同时要尽可能保证用户的易用性。 对于采用不同接入认证方式，网络支持配置相同的SSID或不同的SSID来加以区分。 支持和中国移动RADIUS认证服务器/3GPP AAA服务器之间的互通，不同的认证方式要求遵循中国移动制定的相关接入流程技术规范。 支持按照认证方式到指定的Radius服务器/3GPP AAA服务器上认证。 支持按照不同SSID指向不同Portal/Radius服务器。 支持主备Radius服务器倒换。第 9 页无线控制器用户接入功能（续）无线控制器用户接入功能

7、（续）n 用户接入功能要求用户接入功能要求l 接入控制接入控制 为了防止非法用户恶意占用WLAN网络资源，接入系统必须支持连接时长控制功能，能够在本次连接最大允许接入时间结束时自动切断网络连接。本次连接最大允许接入时间由Radius通知接入系统。 为了支持必要的欠费风险控制功能，接入系统应能根据认证计费系统返回的指令，中断状态异常用户（欠费、停机等）的网络连接。支持对用户的MAC地址、IP地址、端口号等方面的接入控制列表（ACL）功能。支持国际漫游所需的长帐号认证（253字节）及二级Portal配置功能。支持基于用户帐号状态（网络侧下发）自动断开用户网络连接的功能。支持基于Radius下发的D

8、M（Disconnect Messages）消息实时断开用户网络连接。支持用户的连接时长控制。支持在Access-Request报文中发送Called-Station-Id（携带SSID），用于认证区域控制。支持基于空闲流量检测自动断开用户网络连接的功能，要求时长（Idle-timeout）可配置，支持最小单位为分钟。支持流量门限可配置，最小单位为字节。第 10 页无线控制器用户接入功能（续）无线控制器用户接入功能（续）n 用户接入功能要求用户接入功能要求l Portal功能功能 AC提供强制PORTAL功能，向WLAN用户终端推送WEB用户认证请求页面和中国移动门户网站。支持用户自服务页面的

9、推送，为用户提供包括静态密码修改、套餐信息查询、帐户转帐、历史使用记录查询等在内的自服务功能。当用户认证通过后，用户业务数据通过AC接入到CMNET。 AC必须支持以客户端软件形式接入的中国移动“随e行”用户。 AC必须支持253字节长用户名，以满足用户自服务及国际漫游业务的需要。 AC必须提供灵活的白名单配置功能及清晰配置页面，至少支持32个白名单地址。 支持一级Portal的白名单配置功能，要求同时支持URL方式及IP地址方式的一级Portal配置。 AC支持二级Portal的推送，以满足国际漫游的需要。此外，为保证国际漫游客户端的接入，要求AC在支持强制Portal的功能时，遵循WISP

10、r协议的相关规定，采用Proxy方式的代码供客户端跳转，并传递强制PORTAL功能相关参数。为满足集团客户业务发展需要，AC必须支持多个Portal页面配置和推送功能；通过VLAN划分的方式，为不同的SSID提供不同的业务控制策略（网页白名单，端口黑白名单（不少于32条）限制等）。AC必须支持在Portal重定向的URL中携带SSID信息，以便后台Portal通过识别不同的标识信息推送不同的个性化Portal页面。 AC与外置的Portal服务器之间实现强制PORTAL功能时，需要在强制Portal URL中加入相关参数。 AC必须支持将错误代码（ErrID）上报给Portal。第 11 页无

11、线控制器用户接入功能（续）无线控制器用户接入功能（续）n 用户接入功能要求用户接入功能要求l 与与2G/3G融合功能要求融合功能要求 必须支持同一SSID或不同SSID下的WEB认证和EAP-SIM/AKA认证共存，其中EAP-SIM/AKA认证可以选择对无线空口加密或不加密。 AC必须支持根据不同的认证方式（WEB认证或EAP-SIM/AKA认证）指向Radius或3GPP AAA服务器。 AC必须满足中国移动WLAN与2G/3G融合设备接口规范中Wa接口和Ww接口的要求。 Wa是WLAN接入网和3GPP AAA的接口，用户UE接入WLAN网络时用来传递鉴权、授权和计费相关信息。 Ww是UE

12、是WLAN AN之间的接口，其功能在IEEE 802中定义，用于传输UE接入WLAN和PS核心网的信令和业务。l VLAN功能功能支持802.1q 的VLAN协议；支持VLAN透传，支持为不同VLAN分配不同的NAS-ID。支持VLAN终结特性，在同一个三层接口下终结一段VLAN，不同VLAN的用户属于同一网段。支持QinQ功能。l NAT/PAT功能功能提供网络地址翻译和端口地址翻译的功能。第 12 页无线控制器用户接入功能（续）无线控制器用户接入功能（续）n 用户接入功能要求用户接入功能要求l 带宽控制带宽控制 支持AC端口的流量控制，包括基于用户和用户群的带宽控制。l IPv6支持能力支

13、持能力 支持IPv6基本协议栈功能，包括但不限于：RFC1981,RFC2460,RFC2464,RFC4291,RFC4443,RFC4861,RFC4862,RFC4941,RFC3411等。 支持IPv6网络管理协议，包括SNMPv6、Telnetv6，IPv6 WEB管理等。 支持基于IPv6特征的ACL访问控制：访问控制功能可匹配下面的字段：源IPv6地址、目的IPv6地址、IPv6 Traffic Class、IPv6基本头协议类型及TCP、UDP协议的源、目的端口号。 支持基于IPv6的业务分类：能够识别数据包中MAC地址、VLAN ID、Ethernet Type、IPv6地址

14、、IPv6 Traffic Class、IPv6基本头协议类型等字段，作为划分业务等级的依据。 支持802.1P和IPv6 Traffic Class之间的映射。 支持IPv6用户接入认证功能。 支持IPv6路由特性，包括：IPV6静态路由、IPV6动态路由协议，OSPFv3必选，RIPng,IS-ISv6可选。l 同步要求同步要求AP和AC间支持基于NTP的时间同步。第 13 页无线控制器无线控制功能要求无线控制器无线控制功能要求n 无线控制器功能要求无线控制器功能要求l 射频资源管理功能射频资源管理功能自动频点设置能力自动频点设置能力 AC设备能够通过AP自动监测周围无线环境，自动选择设置

15、非干扰或者干扰最小的工作频点。AP工作在802.11b/g/n接入模式时，必须支持。当AP同时支持802.11a/b/g/n接入方式时，可以自动在2.4G和5.8G频段自动选择非干扰或者干扰最小频点。 必须支持基于AP测量的自动频点设置能力。 该功能必须兼容所有WLAN接入终端类型（即不对终端提出要求）。 该功能不能中断原有业务的运行。 优先级：上电时自动频点设置功能必须支持；其他为有条件支持。功率控制功率控制 必须支持固定功率调整；必须支持自适应功率动态调整以降低干扰；自动功率调整不影响已有的业务连接。 AC设备无线控制功能模块主要包括射频资源管理、AP设备管理、切换控制、安全功能、和无线业

16、务控制等五个部分。 AC的部分功能需要与AP配套实现。第 14 页无线控制器无线控制功能要求（续）无线控制器无线控制功能要求（续）n 无线控制器功能要求无线控制器功能要求l AP管理功能管理功能AP和AC支持通过IPV4地址建立CAPWAP隧道连接。AP和AC支持通过IPV6地址建立CAPWAP隧道连接。设备发现功能：AC设备支持瘦AP对AC进行自动识别。支持基于二层协议的发现方式。支持基于三层协议的发现方式，具体按以下两种方式：支持DNS发现方式。支持DHCP发现方式： 在IPv4网络中，AP通过DHCP Option 43协议返回AC的地址列表发现AC；在IPv6网络中，AP DHCP O

17、PTION52获取AC的地址列表发现AC。支持对AP的集中配置和管理功能。AC可管理其对应的整个WLAN热区网络，包括瘦AP设备、所带用户，网络状态，告警。AC可以集中配置所属瘦AP设备的各项参数，而瘦AP应可零配置使用，即插即用。支持瘦AP的无线参数批量配置。同一个厂家AC要求支持对802.11b/g和802.11n的AP设备的混合组网，即两种类型AP可接到同一AC上，并由AC统一管理。第 15 页无线控制器无线控制功能要求（续）无线控制器无线控制功能要求（续）n 无线控制器功能要求无线控制器功能要求l 安全要求安全要求 WLAN接入系统必须支持防假冒，动态数据加密等功能，可以根据不同的部署

18、场所和不同的用户需求采用不同的安全解决方案。l 网络访问安全要求网络访问安全要求 AC应支持基于MAC地址的接入控制，包括黑名单和白名单。 AC应支持基于源IP地址（IPv4和IPv6）、目的IP地址（IPv4和IPv6）、IP协议类型、源TCP/UDP端口、目的TCP/UDP端口接入控制。l 加密兼容性加密兼容性 同时支持不加密、静态WEP加密、WPA、WPA2，WAPI等多种加密方式，网络可以配置同一SSID或者不同SSID实现加密兼容性，但优先考虑同一SSID实现方式。l 二层隔离要求二层隔离要求 支持AP下的二层隔离功能；支持用户隔离功能的打开和关闭。l WLAN防非法攻击能力防非法攻

19、击能力支持白名单功能,指定允许接入的终端列表；支持黑名单功能,指定不允许接入的终端列表l 非法非法AP检测检测 为防止非法AP对合法AP的信号传输产生干扰，甚至欺骗合法用户，WLAN接入系统应该具有非法AP检测功能，并能在有条件情况下，切断非法AP网络连接。l 防止假冒能力防止假冒能力 支持同时基于MAC地址、IP地址以及网络侧信息(如VLAN ID 等)的捆绑来识别用户，防假冒的实现不能影响合法用户的漫游及业务使用。l 支持防支持防DoS攻击能力攻击能力第 16 页无线控制器无线控制功能要求（续）无线控制器无线控制功能要求（续）n 无线控制器功能要求无线控制器功能要求l VLAN功能要求功能

20、要求AC支持VLAN Trunk功能；AC支持同一SSID下，不同AP配置不同业务VLAN的能力；l 二层功能要求二层功能要求支持STP功能，防止组网环路引起的广播风暴；l QoS功能要求功能要求支持将用户优先级映射到隧道优先级，端到端支持QoS；支持有线侧优先级（IEEE 802.1P、DSCP）映射到无线侧WMM优先级，保证优先级高的报文在无线空口优先转发；支持基于SSID的优先级，不同SSID可映射为不同的优先级，确保优先级高的业务质量得到保证；支持基于SSID的用户带宽限制。l 802.11n功能要求功能要求支持11n和11a/b/g AP和用户混合接入；支持选择AP工作在11n on

21、ly模式，只允许11n终端接入；支持物理层Short GI功能；支持A-MPDU等MAC层帧聚合机制，提高11n传输效率；支持11n 20M/40M工作模式可配置；支持和客户端MCS速率协商。第 17 页无线控制器无线控制功能要求（续）无线控制器无线控制功能要求（续）n 无线控制器功能要求无线控制器功能要求l 网管功能要求网管功能要求支持标准和开放的网络管理接口，如SNMP（v2c或以上版本）、Syslog、FTP、Telnet、SSH（以上均为必选）等；支持标准和开放的管理信息库，如MIB II, 802.3 MIB等；AC应具备对AP设备MIB的装载和更新能力；支持中国移动制定的WLAN网

22、络管理技术规范。l 其他功能要求其他功能要求支持AC定期关断指定AP的射频口功能；支持AC定期关断指定SSID功能。优先级：有条件支持第 18 页无线控制器硬件要求无线控制器硬件要求n 无线控制器硬件要求无线控制器硬件要求l 物理接口要求物理接口要求支持10/100/1000M以太网接口。支持1000BASE-X 以太网光接口。AC设备网络侧接口有条件支持10GE接口。支持调试串口，便于调试维护。必须支持广域网接口，如支持E1口、光口、以太网口等。l 硬件其他要求硬件其他要求AC支持双主控，保障设备运行的高可靠性；AC设备的板卡支持热拔插，在更换板卡时不影响整机业务运行；AC设备可选支持风扇多

23、级自动调速，可以通过检测周围环境自动调整风扇转速，降低能耗。第 19 页无线控制器性能要求无线控制器性能要求n 无线控制器性能要求无线控制器性能要求l 接入控制要求接入控制要求 DHCP的处理性能单设备/板卡本地地址池数量要求不小于128个；单设备/板卡本地地址池分配的地址总数量不小于20K； WEB Portal认证和EAP-SIM/AKA认证的性能单设备/板卡WEB Portal/EAP-SIM新增用户数不小于20个/s；计费要求指标：基于时长的计费误差不大于1分钟；基于流量的计费误差不大于1%，且最大不超过1Mbyte。l 无线控制要求无线控制要求 AC应支持并发用户数不小于20*AC最

24、大支持的AP数； AC设备支持的MAC地址数量不小于64*AC最大支持的AP数；AC设备应支持ACL数目不小于20*AC最大支持的AP数；为保证大规模运营的性能要求，AC设备必须支持在ACL满配情况下转发性能应不低于单条ACL下转发性能的90%，MAC地址表满配情况下转发性能应不低于单个MAC地址下转发性能的90%；AC转发时延小于5us。第 20 页无线控制器性能要求（续）无线控制器性能要求（续）n 无线控制器性能要求无线控制器性能要求l 同步要求同步要求 AC的同步符合IEEE 802.3系列规范标准。（1）信号与发射时钟的同步：时钟到信号输出的迟延最大为25ns，最小为0ns。（2）信号

25、与接收时钟的同步：同步参考接收时钟的上升沿，输入设置时间最小为10ns，输入保持时间最小为10ns。l 可靠性要求可靠性要求 支持AC 1+1热备份和N+1备份；1+1备份倒换时间小于500ms。AC设备的倒换不能影响用户网络连接及业务使用；倒换中计费包内容及格式要遵循计费部门相关规范。当主用AC设备恢复后，流量可从备份AC回切到主用AC。AC DHCP Server支持热备份功能，在AC设备发生切换时，自动备份DHCP Server地址池和租期。AC设备支持热补丁，在设备运行时可通过升级补丁满足新功能需求和BUG修复。l 可用性要求可用性要求 AC设备的年可用性指标为99.999%；第 21

26、 页无线控制器设备接口要求无线控制器设备接口要求n 无线控制性器设备接口要求无线控制性器设备接口要求WLAN移动终端和AC之间的接口：AC为WLAN移动终端接入控制点，存在认证交互接口。AP和AC之间的接口：在胖AP架构下，AC只完成接入控制的功能，AP和AC之间是一种松耦合关系；在瘦AP架构下，AP和AC之间的接口应符合CAPWAP协议规范。AC与PORTAL服务器之间的接口：AC与PORTAL服务器之间的接口主要包括用户认证，用户下线通知，业务控制等。AC和RADIUS用户认证服务器之间的接口：当用户用于采用WEB（Portal）认证时使用此接口。AC和3GPP AAA之间的接口：当用户用

27、于采用EAP-SIM/AKA认证时使用此接口。第 22 页无线控制器设备环境要求无线控制器设备环境要求n 无线控制性器设备环境要求l 电源电源支持220V交流外接供电，要求输入电压范围为210240V AC，频率变化范围为45Hz65Hz。支持-48V直流供电，电压输入范围-3672V DC。有条件支持双电源备份。l 接地接地AC设备接地电阻应小于10欧姆。l 温度温度在-5至+50环境中应能正常工作。l 湿度湿度在相对湿度：10%95%的环境中能正常工作。第 23 页AC+Fit AP的连接方式的连接方式Fit AP无线控制器无线控制器无线控制器无线控制器无线控制器无线控制器L2L2网络网络

28、L3L3网络网络Fit APFit APFit APFit APFit AP直连方式直连方式二层网络连接方式二层网络连接方式三层网络连接方式三层网络连接方式第 24 页AC+Fit AP系统构成特点系统构成特点l主要由无线控制器和Fit AP在有线网的基础上构成的。lAP零配置，硬件主要由CPU内存RF构成，配置和软件都要从无线控制器上下载。所有AP和无线客户端的管理都在无线控制器上完成。lAP和无线控制器之间的流量被私有协议加密；无线客户端的MAC只出现在无线控制器端口，而不会出现在AP的端口。l可以在任何现有的二层或三层 LAN 拓扑上部署通用无线解决方案，而无需重新配置主干或硬件。无线控制器以及管理型接入点AP可以位于网络中的任何位置。第 25 页AP直连或通过二层网络连接时的注册流程直连或通过二层网络连接时的注册流程AP从无线控制器下载最新软件版本、配置4.AP开始正常工作和无线控制器交换用户数据报文无线控制器无线控制器APDHCP Server1、获取IP地址2、发送二层广播发现请求4、版本、配置下载3、无线控制器发现响应5、用户数据传递 AP通过DHCP server获取IP地址 AP发出二层广播的发现请求报文试图联系一个无线控制器 接